Kubernetes 到 Vault 身份验证失败

【问题标题】:Kubernetes to Vault Authentication FailureKubernetes 到 Vault 身份验证失败
【发布时间】:2019-06-11 17:10:56
【问题描述】:

晚上好!希望你们一切都好。我正在尝试设置 K8s 与 Vault 的集成,但遇到以下错误消息:x509: certificate signed by unknown authority

Kubernetes 在 AWS EKS 上运行,Vault 是经典负载均衡器和 Route 53 条目后面的 HA 设置。

我正在关注此链接:https://learn.hashicorp.com/vault/identity-access-management/vault-agent-k8s 我指定的是我的 Kubernetes 集群,而不是 Minikube,我尝试了所有可能的方法,但每次都出现同样的错误。

https://:8443/apis/authentication.k8s.io/v1/tokenreviews: x509: 证书由未知权威签署

保险库配置:

{
"listener": [{
"tcp": {
"address" : "0.0.0.0:8200",
"tls_disable" : 1 (Am doing SSL termination at LoadBalacer level)
}
}],
"api_addr": "http://<Instance_IP>:8200",
"storage": {
"dynamodb": {
"ha_enabled" : "true",
"region" : "<region_name>",
"table" :  "<table_name>"
}
},
"max_lease_ttl": "10h",
"default_lease_ttl": "10h",
"ui":true
}

尝试使用“vault auth enable -tls-skip-verify kubernetes”和“vault auth enable kubernetes”启用身份验证,但没有成功。

请帮忙。如果您需要我提供任何信息,请告诉我。

【问题讨论】:

  • 你的镜像的操作系统是什么?如果您在受信任的列表中添加证书,通常会出现此错误。例如就我而言,我有 ubuntu,然后我将证书复制到 /etc/ssl/certs。我摆脱了这个问题

标签: hashicorp-vault


【解决方案1】:

您不能使用 kubernetes auth method 禁用 CA 验证。启用 auth 方法时,需要指定kuberetes_hostkubernetes_ca_cert。主机是 Kubernetes 主机(API 服务器)的 FQDN。 ca_cert 是公共证书颁发机构,用于验证对 API 服务器的请求。

每个云提供商都有自己公开 CA 的方式,因为它可能属于负载平衡器,而不是直接在集群上。看起来您正在使用 AWS,所以 here's those docs。您需要提取 certificate-authority-data 字段,因为那是 CA,并将其提供给 Vault。

【讨论】:

    猜你喜欢
    • 2022-08-11
    • 1970-01-01
    • 2020-10-21
    • 2022-01-18
    • 2023-04-10
    • 1970-01-01
    • 2014-01-24
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode